ДЛЯ АБОНЕНТОВ




 ИНТЕРНЕТподключениеО компанииНовости  
Аксесс листы для D-Link 3028, DES-3200

#TCP
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 10
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 135 port all deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 139 port all deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 445 port all deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 3587 port all deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 5357 port all deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 5358 port all deny
#UDP
create access_profile ip udp dst_port_mask 0xFFFF profile_id 11
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 137 port all deny
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 138 port all deny
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 1900 port all deny
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 3540 port all deny
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 3702 port all deny
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 5355 port all deny

#DES 3200 Dhcp Server Screening

#DHCP Server Screening
config filter dhcp_server ports 1-24 state enable
config filter dhcp_server log enable


Аксесс листы для D-Link DGS-3100-24


#TCP
create access_profile profile_id 10 ip tcp dst_port_mask ffff
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 135 port all deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 139 port all deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 445 port all deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 3587 port all deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 5357 port all deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 5358 port all deny
#UDP
create access_profile profile_id 11 ip udp dst_port_mask ffff
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 137 port all deny
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 138 port all deny
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 1900 port all deny
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 3540 port all deny
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 3702 port all deny
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 5355 port all deny

=============== >8 ======================= >8 =============================

подопытным будет DES-3200-10

Создать два VLAN, один для клиентов, другой для управления коммутатором и назначить их на порты свитча. 100 мегбитные порты -- клиентские, гигабитные порты -- аплинки.
create vlan USER tag 2
create vlan MANAGEMENT tag 3
config vlan USER add untagged 1-8
config vlan USER add tagged 9-10
config vlan MANAGEMENT add tagged 9-10


Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)

config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode deleteontimeout

Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами

config stp version rstp
config stp ports 1-8 fbpdu disable state disable


Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети

enable loopdetect
config loopdetect recover_timer 1800
config loopdetect interval 10
config loopdetect ports 1-8 state enable
config loopdetect ports 9-10 state disable


Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).

create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit
config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit
config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny


Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny


И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.

config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5


Таким образом, мы решаем многие проблемы, присущие плоской сети -- поддельные DHCP и PPPoE сервера (зачастую многие включают такие вещи ненамеренно, а по не знанию, то есть злого умысла нет, но работать другим клиентам мешают), бродкастовые штормы, глючные сетевые карточки и прочее.

Локалка.нет
Адрес
г. Одесса. Бугаевская, 21.
оц "Наше дело", офис 101
Абонотдел
(048 / 066 / 068 / 093) 796-59-59
(048) 728-26-06
(093) 170-08-04

sales(at)localka.net
Техподдержка
(048 / 066 / 068 / 093) 796-59-59
(048) 728-18-06
(048) 796-596-0
(093) 170-08-06
support(at)localka.net